Traduci token nel cookie

3

Mi trovo in una situazione in cui ho bisogno di consegnare un utente da un'applicazione mobile a un'applicazione web. L'applicazione mobile utilizza WebAPI sul back-end con OAUTH 2. L'applicazione web d'altra parte è MVC che utilizza i cookie.

Non sono in grado di modificare l'applicazione Web in alcun modo significativo, ma ho l'obbligo di non consentire all'utente di accedere al sito Web dopo che hanno già effettuato l'accesso all'app.

Quindi il mio pensiero è di aggiungere una route del punto di ingresso a MVC, che non richiede autenticazione e utilizza come parametri il token utilizzato nell'API e l'URL che l'utente desidera. Il controller autentica il token, emette il cookie e reindirizza l'utente a dove vuole andare.

Questo sarebbe un controller passivo invisibile. Ha un senso e dovrebbe essere facile da fare, ma mi sento a disagio nel loggare l'utente nel sito senza passare per il percorso tipico.

Ci sono potenziali vulnerabilità in questo approccio?

    
posta Dan Revell 25.05.2016 - 10:01
fonte

1 risposta

1

Ho avuto un problema simile da risolvere, ma da un URL in SMS (accesso semplice, senza nome utente / password). Quindi io creo un codice temporale per esso, ma puoi anche usare il token esistente (devi ovviamente conoscere le chiavi per decrittografarlo o convalidarlo).

Puoi trovare i dettagli del mio approccio qui con una risposta sulla sicurezza di tale approccio. Quindi puoi sempre generare questi token una volta per l'accesso validi per circa 30 secondi, quindi sarà molto difficile abusarne in questo breve periodo per quanto posso vedere (anche se ovviamente avrai bisogno di più entropia nel token di quanto avevo bisogno per SMS).

In caso contrario, se è possibile riutilizzare lo stesso token nell'applicazione Web, non è nemmeno necessario convalidarlo in questa richiesta aggiuntiva: basta emettere il cookie con quello che si ottiene come parametro, reindirizzare e lasciare che MVC gestisca il resto .

    
risposta data 25.05.2016 - 22:30
fonte

Leggi altre domande sui tag